In breve
I kit di phishing reverse proxy (EvilProxy, Tycoon) intercettano in diretta il flusso PSD2 di Autenticazione Forte del Cliente (SCA): la vittima inserisce le credenziali sul sito di phishing, il proxy le inoltra alla banca reale,...
Come funziona
I kit di phishing reverse proxy (EvilProxy, Tycoon) intercettano in diretta il flusso PSD2 di Autenticazione Forte del Cliente (SCA): la vittima inserisce le credenziali sul sito di phishing, il proxy le inoltra alla banca reale,...
Indicatori rossi
- il dominio della pagina di login differisce da quello della propria banca
- il browser non mostra alcun avviso relativo al certificato (PhaaS utilizza Let's Encrypt)
- richiesta di approvazione push TAN per una sessione che non è stata avviata
- l'SMS arriva ma non si stava effettuando l'accesso
Cosa fare
- 1non approvare mai push TAN inattese. Passare a passkey/FIDO2 dove la banca li supporta. SE VITTIMA: contattare la banca entro 13 mesi (diritto di rimborso PSD2), presentare reclamo all'autorità nazionale di vigilanza, sporgere denuncia alla polizia
Fonte
EBA
Fonte verificata da Mythos Forensic Team
https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-moneyFAQ
EBA — attacco MitM PSD2 in tempo reale che cattura l'autenticazione forte del cliente e una truffa reale?
Si. Tratta messaggi, chiamate o richieste di pagamento come sospette finche non le verifichi da un canale ufficiale.
Quali sono i primi segnali?
il dominio della pagina di login differisce da quello della propria banca; il browser non mostra alcun avviso relativo al certificato (PhaaS utilizza Let's Encrypt); richiesta di approvazione push TAN per una sessione che non è stata avviata
Cosa devo fare subito?
non approvare mai push TAN inattese. Passare a passkey/FIDO2 dove la banca li supporta. SE VITTIMA: contattare la banca entro 13 mesi (diritto di rimborso PSD2), presentare reclamo all'autorità nazionale di vigilanza, sporgere denuncia alla polizia
LegalAudit puo controllare il mio caso?
Si. Apri la chat gratis e incolla messaggio, link, mittente o dati di pagamento per un triage.